本文提供建置零信任安全和 Microsoft 365 的部署計畫。 零信任 是一種安全模型,假設發生攻擊,並將每個請求視為來自不受控網路的請求來進行驗證。 無論請求來源或存取何種資源,零信任 模型教導我們「永不信任,永遠驗證」。
將本文與此海報搭配使用。
| 項目 | 說明 |
|---|---|
PDF | Visio 更新日期:2025年4月 |
相關解決方案指南
|
零信任 原則與架構
零信任 是一種安全策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法。
| 原則 | 說明 |
|---|---|
| 明確驗證 | 一律根據所有可用的數據點進行驗證和授權。 |
| 使用最低權限存取權 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 |
| 假設系統已遭突破 | 將爆炸半徑降至最低,並分隔存取權限。 確認端對端加密,並使用分析來取得可見度、驅動威脅偵測,以及改善防禦。 |
本文的指引幫助你透過實作 Microsoft 365 的功能來應用這些原則。
零信任 方法貫穿整個數位資產,作為整合的安全理念與端到端策略。
此示意圖呈現了促成 零信任 的主要要素。
在圖例中:
- 安全政策的執行是 零信任 架構的核心。 這包括使用條件式存取進行多重要素驗證,以考慮使用者帳戶風險、裝置狀態,以及您設定的其他準則和原則。
- 身分識別、裝置、資料、應用程式、網路和其他基礎結構元件都以適當的安全性設定。 針對這些元件所設定的政策會與整體的 零信任 策略協調。 例如,裝置原則會決定狀況良好的裝置準則,而條件式存取原則需要狀況良好的裝置才能存取特定應用程式和數據。
- 威脅防護和情報會監視環境、呈現目前的風險,並採取自動化動作來補救攻擊。
欲了解更多零信任資訊,請參閱Microsoft零信任指導中心。
部署 Microsoft 365 的 零信任
Microsoft 365 是刻意設計的,具備多種安全與資訊保護功能,幫助您將 零信任 建立在環境中。 您可以擴充許多功能,以保護組織使用的其他 SaaS 應用程式的存取權,以及這些應用程式內的數據。
此圖示代表部署 零信任 能力的工作。 這項工作與
在此圖中,部署工作會分類為五個泳道:
- 保護遠端和混合式工作 — 此工作會建立身分識別和裝置保護的基礎。
- 防止或減少因缺口而造成的業務損害 — 威脅防護提供安全性威脅的即時監視和補救。 Defender for Cloud Apps 提供 SaaS 應用程式的探索,包括 AI 應用程式,並可讓您將數據保護延伸到這些應用程式。
- 識別及保護敏感性商務數據 — 資料保護功能提供以特定數據類型為目標的複雜控件,以保護您最有價值的資訊。
- 保護 AI 應用程式和資料 — 快速保護貴組織對 AI 應用程式的使用,以及與這些應用程式互動的數據。
- 符合法規和合規性需求 — 瞭解並追蹤您遵守影響貴組織之法規的進度。
本文假設您使用的是雲端身分識別。 如果您需要指引,請參考 部署您的 Microsoft 365 身份基礎架構。
小提示
當你了解步驟及端對端部署流程後,登入 Microsoft 365 管理中心時,可以使用 設置你的 Microsoft 零信任安全模型進階部署指南。 本指南將引導你如何將零信任原則應用於標準與先進科技支柱。
泳道 1 - 保護遠端和混合式工作
保護遠端和混合式工作牽涉到設定身分識別和裝置存取保護。 這些保護措施共同促成了零信任原則明確驗證。
完成在三個階段中保護遠端和混合式工作的工作。
階段 1 - 實作起點身分識別和裝置存取原則
本指南Microsoft建議一套完整的身份與裝置存取政策,適用於零信任 — 零信任身份與裝置存取配置。
在第1階段中,從實作起點層開始。 這些原則不需要註冊裝置以進行管理。
請參閱 零信任身份與裝置存取保護以獲得詳細的規範指引。 本系列文章描述了一組身份與裝置存取的先決設定,以及一套 Microsoft Entra 條件存取、Microsoft Intune 和其他政策,以保護對 Microsoft 365 企業版 雲端應用程式與服務、其他 SaaS 服務及本地應用程式的存取,發佈於Microsoft Entra application proxy.
| 包括 | 先決條件 | 不包含 |
|---|---|---|
三種保護層級的建議身分識別和裝置存取原則:
其他建議:
|
Microsoft E3 或 E5 Microsoft Entra ID 在這些模式之一中:
|
針對需要受管理裝置的原則的裝置註冊。 請參閱「使用 Intune 管理裝置」以進行裝置註冊。 |
階段 2 - 使用 Intune 註冊裝置以進行管理
接下來,註冊您的裝置以進行管理,並開始使用更複雜的控件來保護裝置。
如需註冊裝置以進行管理的詳細規範指引,請參閱使用 Intune 管理裝置。
| 包括 | 先決條件 | 不包含 |
|---|---|---|
使用 Intune 註冊裝置:
設定原則:
|
用 Microsoft Entra ID 註冊端點 | 設定資訊保護功能,包括:
如需這些功能,請參閱 泳道 3 - 識別及保護敏感數據 (本文稍後)。 |
欲了解更多資訊,請參閱零信任 Microsoft Intune。
第三階段 — 新增 零信任 身份與裝置存取保護:企業政策
裝置註冊管理後,你現在可以實施完整的建議 零信任 身份與裝置存取政策,要求設備必須符合規範。
返回 一般身分識別和裝置存取原則 ,並在企業層中新增原則。
閱讀更多關於如何在零信任採用框架中保障遠端與混合工作的安全資訊 — 保障遠端與混合工作的安全。
泳道 2 - 防止或減少因外泄而造成的商務損害
Microsoft Defender 全面偵測回應 是一款擴展偵測與回應(XDR)解決方案,能自動收集、關聯並分析來自 Microsoft 365 環境的訊號、威脅與警報資料,包括端點、電子郵件、應用程式及身份。 此外,Microsoft Defender for Cloud Apps 協助組織識別並管理 SaaS 應用程式的存取權限,包括生成式人工智慧應用程式。
透過試點並部署 Microsoft Defender 全面偵測回應,預防或減少資安事件造成的商業損失。
請前往試行和部署 Microsoft Defender 全面偵測回應,以獲得有關如何系統化地試行與部署 Microsoft Defender 全面偵測回應 元件的指南。
| 包括 | 先決條件 | 不包含 |
|---|---|---|
設定所有元件的評估和試驗環境:
防範威脅 調查及回應威脅 |
請參閱指引,了解 Microsoft Defender 全面偵測回應 各元件的架構需求。 | Microsoft Entra ID Protection 未包含在本解決方案指南中。 它包含在 [泳道 1 — 安全遠端和混合式工作] 中。 |
請參閱零信任採用框架 — 預防或減少因外洩造成的業務損失。
泳道 3 — 識別及保護敏感性商務數據
實施 Microsoft Purview 資訊保護,幫助您無論在何處存放或傳遞,都能發掘、分類並保護敏感資訊。
Microsoft Purview 資訊保護功能包含在Microsoft Purview中,提供你了解資料、保護資料並防止資料遺失的工具。 您可以隨時開始此工作。
Microsoft Purview 資訊保護提供一個框架、流程與能力,讓你能用來達成特定的商業目標。
欲了解更多規劃與部署information protection的資訊,請參閱部署Microsoft Purview 資訊保護解決方案。
閱讀更多關於如何在
泳道 4 — 保護 AI 應用程式和數據
Microsoft 365 具備協助組織快速保護 AI 應用程式及其所用資料的能力。
從使用適用於 AI 的 Purview 資料安全性態勢管理 (DSPM) 開始。 此工具著重於組織中 AI 的使用方式,特別是與 AI 工具互動的敏感數據。 適用於 AI 的 DSPM 為 Microsoft Copilots 和第三方 SaaS 應用程式提供更深入的見解,例如 ChatGPT Enterprise 和 Google Gemini。
下圖顯示 AI 使用對您數據影響的其中一個匯總檢視—每個生成式 AI 應用程式的敏感互動。
此圖顯示每個產生的 AI 應用程式的敏感性互動。
使用 DSPM 來實現 AI 的目的:
- 深入瞭解AI使用情況,包括敏感資料。
- 檢視資料評估,了解可透過 SharePoint 過度分享控制措施來彌補的過度分享缺口。
- 尋找敏感度標籤和數據外洩防護(DLP)政策涵蓋範圍中的漏洞。
Defender for Cloud Apps 是探索及控管 SaaS GenAI 應用程式和使用方式的另一個強大工具。 Defender for Cloud Apps 目錄中包含超過一千個產生的 AI 相關應用程式,可讓您瞭解組織中產生的 AI 應用程式如何使用,並協助您安全地管理它們。
除了這些工具外,Microsoft 365 還提供一套完整的功能來保護與管理 AI。 請參閱 探索、保護及控管 AI 應用程式和數據 ,以瞭解如何開始使用這些功能。
下表列出Microsoft 365能力,並連結至Security for AI library中的更多資訊。
| 能力 | 詳細資訊 |
|---|---|
| SharePoint 共享控制,包括 SharePoint 進階管理 | 套用SharePoint分享限制控制 |
| 適用於 AI 的 DSPM | 利用資料安全狀態管理 (DSPM) 來提升對人工智慧使用情況的可見度 透過 DSPM 來保護 AI 資料 |
| 敏感度標籤和 DLP 原則 | 持續確認敏感度標籤和 DLP 政策中的缺口或不足之處 |
| 測試人員風險管理 (IRM) — 具風險的 AI 使用原則範本 | 套用具風險的 AI 範本 |
| 調適型保護 | 設定內部風險管理的調適型保護 |
| 雲端應用程式防護者 | 探索、批准和封鎖 AI 應用程式 分類和保護 AI 應用程式的使用 根據合規性風險管理 AI 應用程式 |
| Purview 合規性管理員 | 建置和管理 AI 相關法規的評核 |
| Purview 通訊合規性 | 分析輸入到產生 AI 應用程式的提示和回應,以協助偵測不適當或具風險的互動或共用機密資訊 |
| Purview 數據生命週期管理 | 主動刪除不再需要保留的內容,以降低 AI 工具中數據過度顯示的風險 |
| eDiscovery | 在提示和回應中搜尋關鍵詞,管理電子檔探索案例中的結果 |
| Copilot 與 AI 活動的稽核日誌 | 識別Copilot互動如何、何時、何地發生,以及哪些項目被存取,包括這些項目上的敏感性標籤 |
| Priva 隱私權評量 | 為您建置的 AI 應用程式啟動隱私權影響評估 |
泳道 5 - 符合法規與合規性需求
不論貴組織的IT環境複雜度或組織大小為何,可能會影響您企業的新法規需求都會持續增加。 零信任 方法常常超越合規法規所施加的某些要求,例如控制個人資料存取的規範。 實施 零信任 方法的組織可能發現他們已經符合一些新條件,或能輕鬆在 零信任 架構上建立合規性。
Microsoft 365 包含協助法規遵循的功能,包括:
- 合規性管理員
- 內容瀏覽器
- 保留原則、敏感度標籤和 DLP 原則
- 通訊合規性
- 數據生命週期管理
- Priva 隱私權風險管理
使用下列資源來符合法規和合規性需求。
| 資源 | 詳細資訊 |
|---|---|
| 零信任採用框架 — 符合法規與合規要求 | 說明貴組織可遵循的方法,包括定義策略、規劃、採用及治理。 |
| 治理 AI 應用程式和數據以符合法規 | 解決新興 AI 相關法規的法規合規性,包括可提供協助的特定功能。 |
| 管理資料隱私與資料保護,使用 Microsoft Priva 與 Microsoft Purview | 評估風險並採取適當行動,利用 Microsoft Priva 和 Microsoft Purview 保護您組織環境中的個人資料。 |
後續步驟
想了解更多零信任資訊,請造訪零信任輔導中心。